▲ 문성준 엔시큐어 사장

어플리케이션 보안 강자 엔시큐어

올 150억 목표, 체크리스트식 관리 지양해야

새로운 어플리케이션 개발이 늘면서 애플리케이션 보안에 대한 관심도 늘고 있다. IoT시대에 맞춰 더 많은 디바이스가 생기면서 기업용, 고객영업용 등으로 어플리케이션 개발이 증가하고 이에 따라 어플리케이션 보안에 대한 관심도 늘고 있는 것.

침입자에게 어플리케이션이 잘 뚫리는 시점이 있다. 바로 시스템이 업그레이드 될 때. 업그레이드를 마치면 방어 댐을 다시 세워야 하는데 현업에서 간혹 간과하는 경우가 있기 때문이다.

엔시큐어는 어플리케이션 보안 분야에서 꾸준히 두각을 나타내왔다. 3년 연속 100억원 매출을 달성했고, 올해 목표는 150억원이다. 문성준 사장을 만나 어플리케이션 보안에 대해 CIO, CISO가 알아야 할 것들에 대해 대화했다.

어플리케이션 개발 후 보안 관리 철저해야

“어플리케이션을 개발하기 위해서는, 시큐어 코딩 전 단계에서 보안 이슈가 있다. 이에 대한 보안 코딩 정책수립, 운영부문의 위변조 방지, 개발자 교육 등이 반드시 필요하다. 이 부분에 대해 엔시큐어는 집중적으로 역할을 해왔다. 또한 고객에게 개발 후에 대한 전략을 위해서, 위협방어 솔루션을 제공하고, 향후 지속적으로 투자해야할 방향도 가이드하며, 기업별 애플리케이션 보안 성숙도 모델(BSIMM)등을 제시해왔다. 기업에서는 자신들이 쓰고 있는 어플리케이션 보안 수준을 가늠하기 힘들다. 다른 기업과 비교하고 글로벌로 시야를 넓혀야 한다. 엔시큐어는 어플리케이션 보안 수준을 측정할 수 있도록 정보를 제공하고 가이드 하고 있다.

솔루션 도입 전, 정책 먼저 수립해야

“고객들은 솔루션을 도입하면 일손을 던다고 생각하는 것 같다. 적은 인력으로 운용하는 상황을 이해하지만 단순하게 솔루션 도입으로 그쳐선 안 된다. 보안 요소에 대한 정책을 세워야 한다. 기업에서는 보안에 대해 평소 꾸준한 관심을 가지고 대해야 한다. 소 잃고 외양간 고치는 정서가 깨져야 한다. 현재 기업보안 시스템은 획일화되어 있다. 일부 금융회사에서는 보안을 체크리스트 식으로 관리하고 있다. 고객 서비스 질은 다소 뒷전이기 때문인 건 아닌지.

고객들도 해외사례를 많이 공부해서 트랜드와 사례를 풍부하게 접하며 기업 IT의 선순환을 일으켜야 한다. 금융감독원의 법령변화로 기업 보안이 자율화 되면서, 기업은 보안의 질까지 신경써야할 상황인 만큼, 보다 적극적으로 연구하고 전략을 짜야할 때라고 본다.

CISO, 보안책임자로서 응당한 권한 주어져야

CISO는 기업 전체의 보안을 리드하고 정책을 세워 실현하고 책임지는 자리다. 이에 앞서 보안책임자로서의 응당한 역할과 권한이 주어져야 한다고 생각한다. 현실은 사고 나면 책임만 떠안는 자리인 것 같은 느낌이 든다.

이를 해결하기 위해서는 C레벨의 보안 인식이 변해야 한다. 은퇴하기 전에 잠시 거쳐가는 자리가 아니고 보안 담당자들이 능동적이고 적극적으로 일할 수 있는 신경써줘야 한다. 보안 담당자도 앞서 말한대로 꾸준한 연구와 철저한 자기 개발을 해서, 체크리스트 방식의 보안이 아닌, 각 회사에 맞는 효율적인 프로세스를 마련해야 한다고 생각한다.

올해 목표 150억

엔시큐어는 앞으로의 5년 계획에 대한 설계를 마쳤다. 자체 프로그램도 개발할 계획을 가지고 있고 서비스 모델도 준비 중이다. 엔시큐어에서 취급하는 솔루션들은 IT보안에 있어 기본적으로 요구되는 것들이다. 이에 올해는 기존 시장을 더욱 확대할 계획이다. 최근에는 게임 시장 분야 레퍼런스를 확보했다. 게임시장의 고민을 이해해서 시장을 확장할 계획이다. 올해 엔시큐어의 매출 목표는 150억 원이다.